國泰君安證券公司的辦公網絡域架構與補丁分發方案微軟11頁.doc
下載文檔
上傳人:職z****i
編號:1335811
2025-03-04
11頁
134.04KB
1、國泰君安有限公司網絡域架構與補丁分發方案微軟(中國)有限公司上海分公司2004-06-04一、方案背景1.1 目前現狀國泰君安總部目前擁有PC約1000臺計算機(包括服務器與客戶機),劃分為OA辦公網與業務網兩大類,其中業務網又由交易網、通信網的網絡構成,這些網絡之間通過網關實現網絡通信。這些網絡目前都采用Workgroup工作組構架模式。1.2 客戶需求近期來,由于病毒泛濫,甚至透過網關危及到業務網,特別是隨著集中交易的上線運行,國泰君安意識到網絡通信管理與安全的重要性。為更好地管理網絡中的用戶與計算機,提高管理力度,國泰君安期望通過部署企業網絡管理解決方案來實現以下管理要求,并在此基礎上實2、施網絡通信安全管理。1. 建立企業級目錄服務,實施全面的用戶、計算機集中管理;2. 建立補丁管理,實施安全補丁分發、安裝及檢查統計;3. 其它基礎的管理要求;4. 方案應具有可擴展性,以滿足未來管理的新要求。二、方案規劃2.1 規劃建議為滿足國泰君安需求,微軟建議在國泰君安部署Windows 活動目錄服務,實施網絡用戶、計算機等資源集中化管理。網絡管理(包括補丁分發等)將通過以微軟的SMS 2003服務器為核心的管理系統來實施。為有效地強化企業內部網絡安全,并基于用戶級別跟蹤、控制網路通信,微軟強烈建議采用內、外雙層防火墻,構架DMZ網路區域。外防火墻可繼續采用原有防火墻,而內防火墻則可采用微3、軟的ISA 2000軟件防火墻,該防火墻系統與Window活動目錄緊密結合,能做到用戶級別的通信安全控制。2.2 規劃依據 微軟活動目錄技術介紹今天,對于在商業運作中保持競爭力而言,網絡化計算變得比以往任何時候都更為重要。為此,就要求現代化的操作系統具有管理存在于構成網絡環境所需分布式資源中的一致性和關聯性的機制。目錄服務提供一定空間,用于存儲與基于網絡的實體相關的信息,例如應用程序、文件、打印機和人員。同時,該服務也提供用于命名、描述、定位、存取、管理及保證獨立資源信息安全性的一致性方法。更形象地說,目錄服務在網絡操作系統中扮演著一個接線總機的角色。它是通過對一致性進行管理,并調度那些分布式4、資源間關聯,從而使它們共同工作的中心授權機構。由于目錄服務提供這些基礎的網絡操作系統功能,它必須與用于管理和提供安全性的操作系統機制緊密結合在一起,從而保證網絡的完整性和保密性。同時,目錄服務也在組織機構的下列能力中發揮至關重要的作用,這些能力包括:定義和維護網絡基礎構件的能力,執行系統管理的能力以及控制一家公司信息系統中全部用戶經驗的能力。Microsoft Active Directory 服務是Windows 平臺的核心組件,它為用戶管理網絡環境各個組成要素的標識和關系提供了一種有力的手段。活動目錄包括兩方面:目錄和目錄相關的服務。目錄是存儲各種對象的一個物理上的容器,目錄管理的基本對象5、是用戶、計算機、文件以及打印機等資源。而目錄服務是使目錄中所有信息和資源發揮作用的服務,如用戶和資源管理、基于目錄的網絡服務、基于網絡的應用管理。活動目錄是一個分布式的目錄服務。信息可以分散在多臺不同的計算機上,保證快速訪問和容錯;同時不管用戶從何處訪問或信息處在何處,對用戶都提供統一的視圖。在當今網絡計算的爆炸性增長的Internet時代,微軟活動目錄還廣泛地采用了Internet標準,給用戶帶來了幾乎無窮無盡的益處。活動目錄集成了關鍵服務,如域名服務(DNS),消息隊列服務(MSMQ),事務服務(MTS)等;集成了關鍵應用,如電子郵件、網管、ERP等;同時還集成了當今的關鍵的數據訪問,如A6、DSI,OLE DB等。因此選擇微軟的活動目錄技術可以完全滿足用戶集中化管理控制需求,并且具有很強的可擴展性,為未來管理要求提供持續的支持。微軟SMS 2003管理服務器Systems Management Server (SMS) 2003 為 Microsoft 平臺的更改和配置管理提供了一種綜合解決方案,使組織能夠以更低的成本快速為指定的用戶提供有關軟件和更新。建立在行業標準管理協議的基礎上,Systems Management Server與Microsoft和其它公司的補充管理工具相兼容。此外Systems Management Server與Microsoft SQL Server7、和Windows Server 2003 操作系統完全集成-使其在任何規模的網絡中都容易安裝、配置和維護。安全補丁管理System Management Server 2003 已經內置了安全補丁管理的能力,并且System Management Server 2.0 Software Update Services 功能包完全集成進了System Management Server 2003.System Management Server 2003 通過必要的工具,保證企業的Windows 環境主動的獲取最新的安全補丁信息,及時的發現系統存在的已知漏洞,并進行簡易快速的部署。發現已知漏洞:8、使用標準的微軟安全工具,例如:Microsoft 基準安全分析工具和Office 更新工具,我們可以掃描系統來發現已知漏洞并報告未安裝的安全補丁。補丁部署向導:為管理員提供一個簡單的向導程序,來為管理的設備部署安全補丁。即使不熟悉System Management Server 2003的安全專員,也能對這個向導輕易上手。安全分析和部署報告:當確認缺少安全補丁之后,所有的掃描結果會集中到數據庫中,以便于我們進行分析和報告。當安全補丁部署完畢之后,結果會實時的在數據庫中反映出來。更好地管理移動系統和用戶為移動辦公人員提供管理解決方案是系統管理領域最復雜棘手的問題之一。為了采用與傳統的靜態用戶一致9、的方式,向移動用戶和計算機提供管理服務,IT 管理員工作的復雜性又增加了。Systems Management Server 2003 產品專門解決了這個問題,它新增了一個全新的客戶端代理 Advanced Client,后者經過從頭設計以支持這些方案。這個新的客戶端代理支持全部的管理功能集軟件分發、資產管理和遠程故障排除不需要一套確定的本地服務器或服務。而且,這樣的代理在現有 Systems Management Server 框架內無縫集成,使管理員可以同時管理靜態用戶和漫游用戶,而不需要區分他們。新的 Advanced Client 還使用稱為后臺智能傳輸服務 (BITS) 的 Wind10、ows 技術,通過斷斷續續的、低帶寬或質量很差的網絡鏈接(如遠程訪問服務撥號連接和遠程虛擬專用網絡連接),為所有管理操作提供連接。開發這個基于 HTTP 的協議是為了支持 Windows Update 基礎結構,代碼庫目前每個月處理來自 Windows Update 的 6 千萬個以上的更新下載。更好的軟硬件資產管理在大多數單位,隨著部署的產品與服務的范圍逐年增長,對于 IT 管理員來說,管理所有這類應用程序的整個生命周期變得越來越重要。節省開支的最簡單而又最直接的方法通常是在當前的許可證級別下跟蹤實際的軟件使用,確保每年的許可證開銷與軟件使用相協調。通過不僅監視每臺計算機上安裝了什么應用程序11、,而且監視實際使用的是哪些應用程序,管理員可以更準確地了解單位內部的許可證需求情況。此外,通過了解哪些是廣泛使用的應用程序,測試方案和升級項目可以更準確地反映真實的部署環境,從而減少在整個企業內進行更改的開銷。 Systems Management Server 2003 通過允許管理員跟蹤應用程序的安裝,并將此與應用程序的實際使用相聯系,提供了這方面的解決方案。為實現這一點,Systems Management Server 2003 徹底改寫了以前的 Systems Management Server 2.0 軟件計量方法。它顯著改進了大多數單位的衡量標準,將重點放在了解正在使用哪些應用程12、序、使用頻率、以及同時有多少用戶使用相同的應用程序等關鍵需求上。這樣,管理員就可以更好地衡量企業真正需要的應用程序許可證,還可以確定多余的應用程序安裝,從客戶機上抹去它們的磁盤腳印。通過最大化部署應用程序的運行時間和可用性,也可以間接地顯著節約開支。通過確保所有部署的應用程序和服務運行可用的最新更新和服務版本,最好地維護了企業級應用程序的穩定性。通過不間斷地在網絡上跟蹤部署的應用程序和服務,并提供工具將它們與可用修補程序、服務包及更新的列表進行比較,Systems Management Server 允許管理員主動更換有已知問題的部署代碼以避免服務中斷。這些操作通過最小化用戶和類似客戶的停機時13、間,提高了總的生產效率,并且通過確保一旦有可用的修補程序,就根除掉所有已知的漏洞,保證了整個業務環境的安全。更好地訪問配置和部署數據Systems Management Server 維護一個中央數據庫,其中包含有關所管理的系統和用戶的各種有價值的信息。通過使用 Systems Management Server 2003 中的清單擴展從“添加/刪除程序”添加應用程序數據,以及從 Windows Installer 服務添加應用程序安裝狀態,每個 Systems Management Server 站點都維護著一個更加豐富的配置數據集。管理員通常需要提供報告來說明正在進行的部署與升級項目的進度14、,還需要維護整體網絡配置狀態的報告。生成與更新這類報告會占用實際管理項目本身所需的寶貴時間。Systems Management Server 2003 現在向管理數據庫提供了一個安全的 Web 界面,其中包括大量覆蓋網絡上所有計算機配置的預配置報告、軟件部署和使用狀態、以及各個計算機配置的細節。這個新的 Web 界面改進了 Systems Management Server 管理員在 Systems Management Server 2.0 中逐漸依賴于的基于 Web 的報告,允許管理員向經理提供安全、實時的報告,每位經理都可以使用 Web 瀏覽器查看單位中托管系統的當前狀態。Web 報告15、集可充分擴展,允許管理員為正在進行的特定項目創建自定義視圖。更好的 SMS 操作的擴展性和易管理性近些年來,典型單位中部署的基于 Windows 的 PC 數顯著增加。隨著部署的 PC 群不斷增加,提供集中化平臺管理的重要性也日益增加。由典型的 Systems Management Server 部署管理的客戶端數因此也越來越多,現在很多客戶管理的客戶機數遠遠超過了 200,000 臺。Systems Management Server 產品結構本身就是可擴展的,并且已經成功部署在很多這樣的環境中。但是,隨著端節點數的增長和處理的數據量的增加,以下兩個因素變得至關重要:系統處理負載增大,增加了16、配置更改和管理員通知之間的延遲。 部署的管理基礎結構大小增加,需要更多的管理工作來管理管理系統本身。 Systems Management Server 2003 通過增加 Systems Management Server 基礎結構的處理量和簡化管理模型,解決了這兩個問題。核心 Systems Management Server 服務的性能已得到顯著提高,可確保支持高客戶端數據處理量,同時使系統的傳輸延遲減到最小。對于較小或靜態的環境,此改進使實現相同系統功能級別的硬件要求降低。通過兩項新功能簡化了 Systems Management Server 管理員的管理工作:一項是刪除了高開銷的操17、作和服務,另一項是實現了一個新的可選安全模型,允許在沒有或僅有少數幾個 Windows 域帳戶的情況下操作 Systems Management Server。這兩項新功能顯著簡化了所有 Systems Management Server 管理員的任務,同時還提供了本身更安全的 Systems Management Server 環境。微軟ISA 2000防火墻與Internet加速服務器Internet Security and Acceleration Server 2000,簡稱ISA Server 2000,能夠提供安全、快速和可管理的Internet連接。ISA Server集成了可18、擴展、多層企業級的防火墻和可伸縮的高性能Web緩存系統。構建在Windows 2000/2003的安全特性和活動目錄基礎上,提供基于策略的安全、加速和管理。 安全Internet連接 當您的網絡連接到Internet的時候,隨之也帶來了安全和生產效率方面的問題,這就需要一些有價值的技術資源了-ISA Server可以為您的機構提供快速和全面的控制訪問和網絡使用檢測方法,將您的網絡管理員從繁雜的工作中解放出來,更好的響應業務和客戶的需求。ISA Server可以保護網絡免受未授權訪問的侵害,檢測網絡數據流,當出現網絡攻擊的時候給管理員提示報警信息。 ISA Server包括一個可擴展的多層企業級19、防火墻,可以用以下特征來描述:包、鏈路層和應用程序層流量監測,狀態監測,廣泛的應用程序支持,VPN集成,系統強化,入侵檢測集成,智能應用程序過濾器,對所有客戶端的透明,高級驗證,安全服務器發布等等。快速Web訪問 通過快速和高效的訪問Internet內容,可以極大程度上提高您的生產效率。ISA Server Web緩存通過將Web信息保存在本地,在用戶需要的時候提供本地服務,可以極大的提高性能,節省網絡帶寬資源。這樣員工可以更快的訪問所需要的內容,通過降低額外的Internet訪問費用改善了性能。統一管理 通過整合企業級防火墻和高性能Web緩存功能,ISA Server提供了一個通用的管理基礎20、構架,可以降低網絡復雜程度和使用費用。無論是部署一個集成的系統,還是部署單獨的防火墻或者緩存,您都能夠享受到集成管理帶來的好處。ISA Server與Windows 2000/2003的緊密集成,提供一致、有效的方法來管理組的訪問、配置和規則設定。可擴展的開放平臺 每個組織的安全策略和規則都不同。流量和內容格式也會起一定的決定作用,沒有一個產品可以完全適應所有的安全和性能需求,因此ISA Server在構建的時候充分考慮了可擴展性。您還會得到一套全面的軟件開發工具包(SDK),一套第三方附加軟件解決方案和可擴展管理選擇。三、方案設計3.1 邏輯架構設計基于國泰君安的需求,建議規劃后的網絡域架構21、圖如下:3.2 設計說明l 單域模型:由于目前總部計算機與用戶都僅為1000左右,且各營業部的計算機與用戶也較少,為簡化管理起見,可采用單域模型構架企業網絡目錄服務;l 網絡資源組織清晰:利用活動目錄的組織單元容器,按企業實際的組織層次架構方式整理存放網絡資源,如用戶與計算機;l 網絡管理靈活:在活動目錄域架構方式下,網絡資源按企業實際的組織層次方式整理,網絡系統管理員可以將某一組織單元(Organize Unit)下網絡資源的管理與維護工作委托給某個用戶,這種分布式委托管理方式有利于網絡管理上實現集中控制、分散處理,特別適合于具有遠程子公司網絡或大網絡的靈活管理;l 客戶端管理控制能力強化:22、對活動目錄的組織單元容器實施組織策略(Group Police),能實現對該組織單元下的用戶與計算機強加控制,如在用戶登錄網絡時,強行其定期更改并使用高復雜度用戶密碼,配合SMS2003軟件分發系統,安裝補丁包,更新或運行殺毒軟件等,通過強化對企業網絡客戶端的管理來提高整體網絡的安全可靠性;此外,ISA防火墻同AD緊密集成,基于ISA的策略控制,能夠定義到哪些用戶,在哪些時段,能夠存取到哪些網站等等,具有強大的靈活性與細膩度。l 強制性補丁分發:SMS 2003系統能結合活動目錄服務,能自動偵測到網絡中各計算機系統補丁包安裝的狀況,然后根據網絡管理員制定的分發策略,強制登錄到網絡域的計算機自動23、安裝必要的補丁,以避免感染病毒危害網絡系統安全;l 雙域控制器提供網絡目錄等基礎服務: 一方面能負載均衡近1000用戶的網絡登錄認證等服務,另一方面能避免單臺域控制器的軟硬件故障或系統正常維護(如加載Service Pack服務包)而造成整個網絡系統癱瘓;l 內、外防火墻DMZ區強化網絡安全:采用內、外防火墻構架DMZ區域,利用DMZ安全區域隔斷外部Internet與企業內部網絡,內部ISA防火墻上只開辟容許DMZ區內服務器到內部網絡的訪問能力,這樣即便外部防火墻被攻破,攻擊者也要能假冒DMZ區內的服務器并攻破不同的內部防火墻(微軟ISA軟件防火墻),才能有機會進入到高度安全的內部網絡;l 冗余內防火墻消除外接隱患:2臺ISA 2000防火墻采用Windows Server 2003企業版內置的網絡負載均衡技術(Network Load Balancing Service)群集配置,不僅能提高吞吐性能,而且能實現冗余;